미래창조과학부가 주최하고 한국인터넷진흥원이 주관하는 ‘2015 정보보호 최고책임자(CISO) 워크숍’이 11월 17일 엘타워 6층 그레이스홀에서 유관부처 및 주요 기업 정보보호 최고책임자 300여 명이 참석한 가운데 개최됐다.
 
이 자리에서 강윤평 포스코(POSCO) 팀장(사진)은 포스코의 정보보호 활동사례를 중심으로 ‘글로벌 기업의 정보보호 사례’를 발표했다.

 
강윤평 팀장은 “포스코는 1만8천여 명의 직원과 27개의 다양한 업종을 운영하는 그룹사다. 외주 파트너사만 해도 106개에 달하는 글로벌 기업이다. 해킹과 통합보안관제, 개인정보보호 등 다양한 보안이슈가 있지만 기업 내부정보유출이 가장 중요한 문제다. 2010년 40건에 달하던 기업의 해외 기술유출 사고가 2014년에는 111건으로 증가했다”라며 “특히 글로벌 경영, 다양한 업무환경, IT 신기술 발달에 따른 정보유출 리스크가 더욱 증가하고 있어 2012년부터 그룹사 정보보호 상향 평준화를 위해 정보보호 활동을 전개해 왔다”고 말했다.
 
포스코는 2012년부터 본격적인 정보보호 조직을 새롭게 정비하고 체계를 갖추는데 주력해 왔다. 정보보호와 개인정보보호 2개의 규정과 10개의 지침을 만들어 전체 그룹사와 외주기업 전체에 적용해 오고 있다.
 
또한 정보보호관리체계(ISMS)와 ISO27001, 개인정보보호인증(PIPL) 등 주요 정보보호 인증을 취득하면서 보안체계를 구축해 왔다.
 
강 팀장은 “ISO27001 통제항목도 글로벌 표준을 준수하면서 포스코에 맞는 항목도 추가해 그룹정책에 실질적으로 반영돼 운영될 수 있도록 했으며 1년에 2회 상하반기로 나눠 모의해킹과 피싱메일 점검을 통해 보안취약점을 찾아내고 취약점이 제대로 조치될 때가지 점검을 하고 있다”며 “해외법인 및 그룹환경에 부합된 정보보호 수준진단 체계를 구축하기 위해 노력하고 있고 IT환경변화에 따른 변화관리를 위해 보안담당자 커뮤니티 운영, 분야별 소그룹활동, 그룹사 워크숍 활동을 전개해 다양한 채널을 통한 업무공유로 보안업무 효율성을 강화하고 있다”고 전했다.
 
또 포스코는 조직원 정보보호 역량 강화를 위해 4주간의 파견교육을 실시해 정보보호 동향, 담당자의 역할, 모의해킹 방법 소개, 취약점 조치 방법, ISO27001 선임심사원 교육, 정보보호 수준진단 방법론, 정보보호 개선과제 정의 및 이행계획 수립 등에 대해 교육을 진행하고 있다. 이를 통해 그룹내 정보보호 인력들의 정보보호 업무수행 능력 상향평준화를 꾀하고 있다.
 
마지막으로 강 팀장은 “거버넌스 관점에서 기업 기술보호를 위해 직원들의 정보보호에 대한 지속적인 인식 변화 방안과 보호를 해야 할 대상 및 특성에 맞는 보호대책 연구, 정보보호 조직만 정보보호를 하는 것이 아니라 전사 조직을 활용할 방안, 강력한 보안활동을 위한 경영층과의 두터운 신뢰와 소통 방법을 고민해야 한다”고 강조했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com